Présentation de Microsoft Internet Security & Acceleration Server 2004
Présentation d'ISA Server 2004
Microsoft Internet Security and Acceleration (ISA) Server 2004 est la solution avancée de pare-feu applicatif, réseau privé virtuel (VPN) et cache Web, qui permet aux entreprises d'optimiser leurs investissements informatiques existants tout en améliorant la sécurité et les performances du réseau. ISA Server 2004 existe sous deux versions : Standard Edition et Enterprise Edition. Sauf stipulation contraire, les informations de cette présentation concernent les fonctionnalités des deux versions.
ISA Server 2004 offre une protection avancée, une facilité d'utilisation, et un accès rapide et sécurisé pour tous les types de réseaux. Cette solution de protection est particulièrement adaptée aux grands réseaux d'entreprise qui nécessitent plusieurs pare-feu sur des sites dispersés et qui exécutent des applications client-serveur Microsoft (Microsoft Office, Office Outlook Web Access 2003, Office SharePoint Portal Server 2003, Internet Information Services IIS, le service Routage et accès distant RRAS, le service d'annuaire Active Directory…).
ISA Server 2004 contient un pare-feu applicatif complet qui protège les entreprises de toutes tailles contre les attaques externes et internes. ISA Server 2004 étudie en profondeur les protocoles Internet tels que Hypertext Transfer Protocol (HTTP), ce qui lui permet de détecter de nombreuses menaces que les pare-feu classiques ne peuvent pas détecter. Le pare-feu intégré et l'architecture VPN d'ISA Server prennent en charge un filtrage avec état et l'inspection du trafic VPN dans son intégralité. Son pare-feu assure également l'inspection des clients VPN pour les solutions de quarantaine de Microsoft Windows Server 2003, protégeant ainsi les réseaux contre les attaques effectuées par l'intermédiaire d'une connexion VPN. En outre, grâce à une toute nouvelle interface utilisateur, à des assistants et des modèles et une multitude d'outils de gestion, les administrateurs peuvent éviter les erreurs de configuration de sécurité les plus fréquentes.
Captures d'acran
ISA Server 2004 est doté d'une interface utilisateur entièrement remaniée. Consultez-la sur la page Captures d'écran ISA Server 2004.
Scénarios d'utilisation
ISA Server 2004 constitue un outil précieux pour les responsables informatiques, les administrateurs de réseaux et les spécialistes de la sécurité des informations, soucieux de la sécurité, des performances, de la souplesse de gestion ou des coûts d'exploitation de leurs réseaux. Il s'avère tout aussi avantageux pour les petites, moyennes et grandes entreprises qui peuvent bénéficier de son pare-feu applicatif, de son réseau privé virtuel (VPN) et de son cache Web.
Les sections suivantes décrivent des scénarios de mise en réseau pris en charge par ISA Server 2004 :
| • | Accès à la messagerie pour les employés mobiles. Les employés à l'extérieur de votre réseau accèdent de manière sécurisée à leur messagerie électronique, ainsi qu'à Microsoft Exchange Server 2003 et à d'autres serveurs de messagerie. |
| • | Mettez en place un réseau VPN pour les utilisateurs à distance. Fournissez à vos utilisateurs à distance un accès sécurisé aux informations de l'intranet et aux ressources de l'entreprise hébergées sur des serveurs exécutant, entre autres, IIS. |
| • | Créez des tunnels chiffrés avec vos partenaires. Fournissez à vos partenaires un accès sécurisé aux informations du réseau d'entreprise, ainsi qu'un accès distant et des réseaux VPN extranet site à site. |
| • | Accès à distance pour les employés mobiles. Vos employés accèdent en toute sécurité aux ressources d'entreprise dont ils ont besoin. |
| • | Reliez les filiales et agences entre elles. Vos filiales et agences communiquent avec le siège social sur Internet en toute sécurité à l'aide de connexions VPN site à site hautement sécurisées. |
| • | Contrôlez et protégez-vous contre le trafic malveillant. Contrôlez l'accès Internet de vos utilisateurs et protégez les clients contre le trafic Internet malveillant. |
| • | Mettez le contenu en cache pour être performant. Garantissez un accès rapide aux contenus Web les plus fréquemment utilisés. Vous réduirez vos coûts d'utilisation de la bande passante et vous accélèrerez les connexions Web des utilisateurs du réseau. |
Accès simple et sécurisé au courrier électronique pour les employés à l'extérieur du réseau
ISA Server 2004 fournit des niveaux de protection uniques pour des sites Web Outlook Web Access (Outlook Web Access). Avec l'interface d'ISA Server 2004, facile à utiliser, les entreprises peuvent définir rapidement une règle de publication Web qui met en vigueur une authentification basée sur des formulaires sécurisés.
ISA Server 2004 bloque également les attaques contre les serveurs de messagerie électronique, par déchiffrement SSL (Secure Sockets Layer), permettant la recherche de code malveillant dans du trafic SSL, et par filtrage HTTP, assurant une inspection approfondie du contenu des applications.
En outre, ISA Server peut authentifier les utilisateurs ce qui empêche les connexions d'utilisateurs anonymes, vecteurs d'attaques clés contre des serveurs internes.
ISA Server 2004 exploite les authentifications existantes à plusieurs facteurs et fournit une authentification et des autorisations sécurisées, que les scénarios de messagerie à distance utilisent le service RADIUS (Remote Authentication Dial-In User Service), RSA SecurID ou des méthodes d'authentification fondées sur Windows. De cette manière, ISA Server 2004 empêche les requêtes anonymes potentiellement dangereuses d'atteindre Microsoft Exchange Server.
Une protection supplémentaire est assurée par le blocage des pièces jointes potentiellement dangereuses qui empêche les utilisateurs d'y accéder avec Outlook Web Access. Par ailleurs, avec les fonctions de temporisation de session d'ISA Server 2004, vous évitez que les sessions de messagerie électronique des utilisateurs ne restent ouvertes indéfiniment, accessibles à d'autres personnes.
Grâce à ISA Server 2004 Enterprise Edition, les utilisateurs peuvent accéder à leur messagerie même en cas de panne du pare-feu. ISA Server s'intègre étroitement avec l'équilibrage de la charge réseau Windows. Cette technologie augmente nettement la disponibilité du pare-feu en permettant aux membres actifs de la grappe de se répartir le trafic des membres défaillants. Cette prise en charge intégrée de l'équilibrage de la charge réseau permet également d'améliorer le confort d'utilisation. En effet, les performances du pare-feu sont renforcées grâce à un algorithme d'équilibrage de la charge intelligent qui minimise les risques de surcharge de n'importe quel ordinateur ISA Server dans la grappe.
La figure 1 illustre comment ISA Server 2004 aide à sécuriser l'accès au courrier électronique pour des employés à l'extérieur du réseau de l'entreprise.
Figure 1. ISA Server 2004 assure un accès simple et sécurisé à la messagerie électronique pour des employés se trouvant à l'extérieur du réseau de l'entreprise.
Accès simple et sécurisé à des informations intranet pour les utilisateurs à distance
ISA Server 2004 utilise des règles de publication Web et de publication sur serveur pour publier les informations de manière sécurisée sur Internet, permettant aux utilisateurs à l'extérieur du réseau d'entreprise d'accéder à ses ressources.
Des assistants intégrés de publication Web et sur serveur automatisent les tâches fréquentes et réduisent les risques d'erreur de configuration. En outre, la fonctionnalité de traduction de liens d'ISA Server 2004 permet une traduction intelligente des liens internes en sites publiquement accessibles. ISA Server 2004 vérifie également la légitimité du trafic, met en vigueur des URL valides et pré-authentifie les utilisateurs par l'intermédiaire des cadres d'authentification existants. Cela empêche des requêtes anonymes potentiellement dangereuses d'atteindre les serveurs publiés.
Vous pouvez nettement améliorer votre accès à distance en utilisant ISA Server 2004 Enterprise Edition. Son intégration avec l'équilibrage de la charge sur le réseau fournit des services de basculement et d'équilibrage de la charge pour les serveurs Web et les autres services de réseau publiés, tels que Microsoft SQL Server, File Transfer Protocol (FTP), et Simple Mail Transfer Protocol (SMTP). Ainsi, lorsqu'un membre de la grappe à équilibrage de charge ISA Server 2004 Enterprise Edition est défaillant, d'autres prennent le relais. L'accès au réseau est fermé uniquement lorsque tous les ordinateurs de la grappe sont défaillants.
La figure 2 illustre comment ISA Server 2004 vous aide à protéger votre réseau d'entreprise tout en assurant la disponibilité d'informations intranet sur Internet.
Figure 2. ISA Server 2004 permet de publier des informations sur Internet facilement et de façon sécurisée.
Accès sécurisé à des informations du réseau d'entreprise pour des partenaires
À l'aide de la fonctionnalité VPN intégrée d'ISA Server 2004, vous pouvez connecter de façon sécurisée des partenaires commerciaux à votre réseau d'entreprise tout en limitant leur accès à des serveurs et des applications spécifiques.
ISA Server 2004 chiffre l'ensemble du trafic entre le partenaire et le réseau d'entreprise, garantissant sa confidentialité et empêchant la modification ou le vol des données. Le réseau VPN sécurisé site à site fournit aux partenaires un accès transparent, sécurisé et chiffré aux extranets de l'entreprise. Les utilisateurs sur les réseaux d'entreprise et les réseaux partenaires ne savent pas que la communication utilise une connexion VPN, c'est transparent. De même, ils n'ont pas besoin de reconfigurer leurs applications pour utiliser cette liaison VPN site à site.
Les serveurs d'extrémité VPN s'authentifient mutuellement deux fois : la première authentification a lieu pour les ordinateurs qui créent la connexion et la seconde pour le compte utilisateur chargé de la liaison VPN site à site. Cette double authentification fournit le plus haut niveau de sécurité possible pour les connexions VPN site à site.
Une fois les ordinateurs et les comptes utilisateurs authentifiés, ISA Server 2004 applique des stratégies d'accès qui limitent les possibilités de circulation d'un partenaire dans le réseau de l'entreprise.
Vous pouvez également utiliser ISA Server 2004 pour appliquer des règles de filtrage d'applications strictes pour un nombre de protocoles réseau, vous permettant de protéger votre réseau contre des attaques avancées au niveau de l'application.
Le temps de disponibilité et les stratégies d'inspection du pare-feu sont essentiels pour sécuriser une solution d'accès à distance et de réseau VPN site à site. ISA Server 2004 Enterprise Edition augmente la disponibilité des serveurs VPN et des passerelles grâce à la prise en charge de l'équilibrage de la charge réseau. Lorsque tous les ordinateurs de la grappe d'équilibrage sont indisponibles, les connexions au réseau VPN sont également inaccessibles. Par ailleurs, grâce au modèle d'administration centralisé d'Enterprise Edition, vous pouvez appliquer aux serveurs des réseaux VPN des stratégies d'accès hautement sécurisées, à partir d'un emplacement unique avec la console d'administration ISA Server Management.
La figure 3 montre comment ISA Server protège votre réseau d'entreprise tout en permettant à vos partenaires d'accéder aux informations pertinentes.
Figure 3. Avec ISA Server 2004, vous fournissez à vos partenaires un accès sécurisé aux informations d'entreprise pertinentes.
Accès à distance aux ressources du réseau d'entreprise pour les utilisateurs
Au moyen d'un filtrage applicatif avancé, ISA Server 2004 protège votre réseau d'entreprise contre l'accès par l'intermédiaire d'un réseau VPN d'ordinateurs distants non gérés, en inspectant et en analysant le trafic pour bloquer les vers et les virus. Vous pouvez également utiliser ISA Server pour affecter des stratégies de réseau souples à des utilisateurs et groupes VPN, leur permettant d'accéder uniquement à des serveurs et à des applications spécifiques.
ISA Server 2004 propose une sécurité renforcée en mettant en quarantaine les clients qui ne répondent pas à des stratégies d'entreprise pré configurées pour l'installation de mises à jour logicielles, d'antivirus ou d'autres configurations spécifiques.
La figure 4 illustre comment ISA Server protège le réseau d'entreprise tout en garantissant un accès à distance aux utilisateurs.
Figure 4. ISA Server 2004 fournit aux employés un accès à distance souple et sécurisé à votre réseau d'entreprise tout en protégeant le réseau du trafic malveillant.
Communication sécurisée entre les succursales et le siège social sur Internet
Grâce à une passerelle VPN ISA Server 2004, les administrateurs peuvent établir une jonction entre les réseaux au moyen de liaisons VPN site à site, pour permettre une interconnexion entre le siège social et les succursales d'une entreprise.
À l'aide de la fonction de routeur VPN en mode tunnel IPSec (Internet Protocol security) d'ISA Server 2004, l'administrateur du pare-feu définit des contrôles d'accès renforcés sur le trafic de la liaison site à site, notamment au niveau utilisateur, groupe, site, ordinateur, protocole, ainsi que des contrôles spécifiques de la couche application. Une fois ces contrôles en place, les utilisateurs sur le réseau local peuvent accéder uniquement au contenu autorisé sur le réseau distant, et les utilisateurs du réseau distant ne peuvent accéder qu'aux ressources réseau locales désignées. Ces contrôles d'accès renforcés permettent de limiter l'accès aux informations nécessaires, et interdisent l'accès à toutes les autres ressources.
L'administration des pare-feu des succursales est souvent problématique pour les entreprises internationales. La plupart du temps, les succursales ne disposent pas de personnel informatique qualifié pour administrer leurs pare-feu. ISA Server 2004 Enterprise Edition répond à ce problème en permettant une administration centralisée de tous les pare-feu de l'organisation : l'administrateur peut gérer tous les réseaux de pare-feu des succursales à partir d'un emplacement central au siège social. L'intégration par Enterprise Edition de l'équilibrage de la charge réseau Windows garantit un temps de disponibilité très élevé à toutes les liaisons VPN site à site.
La figure 5 illustre comment ISA Server sécurise les connexions entre les succursales et le siège social.
Figure 5. ISA Server 2004 établit des communications sécurisées entre vos succursales et le siège social.
Contrôle de l'accès Internet et protection des clients contre le trafic malveillant sur Internet
Avec ISA Server 2004, vous pouvez facilement contrôler et appliquer des stratégies d'accès Internet pour vos populations d'utilisateurs, mais aussi protéger les utilisateurs contre le trafic Internet malveillant. Vous pouvez utiliser des stratégies de pare-feu souples pour bloquer les sites Web et filtrer le contenu, vous permettant d'améliorer l'efficacité de vos utilisateurs et de bloquer les contenus inappropriés. ISA Server 2004 peut s'intégrer à Active Directory, vous permettant de construire des contrôles d'accès personnalisés pour différents rôles organisationnels en fonction des utilisateurs et des groupes d'Active Directory.
En outre, le filtrage applicatif d'ISA Server 2004 améliore la fiabilité de votre environnement en protégeant vos postes de travail et serveurs contre des attaques avancées.
Par exemple, son filtrage HTTP avancé peut bloquer l'utilisation d'applications, telles que des applications de partage poste à poste et de messagerie instantanée. Le filtrage du trafic dans ISA Server 2004 établit également une parade contre de nombreuses formes d'attaques en empêchant l'accès aux clients internes à partir de l'extérieur, en vérifiant la validité du trafic entrant et en vérifiant que les modules complémentaires ne contiennent ni vers ni virus.
La figure 6 illustre comment ISA Server contrôle l'accès Internet et protège les clients contre le trafic malveillant sur Internet.
Figure 6. ISA Server 2004 contrôle le trafic Internet et protège les clients contre le trafic malveillant.
Accès rapide au contenu Web le plus fréquemment utilisé
Les fonctionnalités de mise en cache d'ISA Server 2004 garantissent un accès rapide au contenu Web le plus fréquemment utilisé. ISA Server peut router des requêtes spécifiques à des serveurs en amont si le cache en aval est saturé.
Les figures 7 et 8 indiquent comment ISA Server utilise ces fonctionnalités de mise en cache en aval et en amont pour garantir un accès rapide à du contenu Web fréquemment utilisé.
Figure 7. La mise en cache en aval permet un accès rapide au contenu Web le plus fréquemment utilisé.
Figure 8. La mise en cache en amont est disponible lorsque les caches en aval sont saturés.
En plus du routage des requêtes à des serveurs Web cache en amont et en aval, ISA Server 2004 Enterprise Edition prend en charge le protocole CARP (Cache Array Routing Protocol) pour les grappes de serveurs de cache Web. L'algorithme intelligent CARP accélère très nettement l'accès au Web et améliore sa fiabilité avec ses fonctionnalités de tolérance de panne et d'équilibrage de charge. Grâce à la tolérance de panne du protocole CARP, les navigateurs Web ignorent les membres défaillants de la grappe et se connectent aux membres actifs. Par ailleurs, les membres du cache CARP équilibrent automatiquement les connexions Web afin qu'aucun membre ne soit surchargé par le trafic.
Les grappes de cache ISA Server 2004 Enterprise Edition sont efficaces. Le contenu Web n'est jamais stocké plusieurs fois, ce qui augmente nettement la quantité de contenu Web qui peut être mise en cache par une seule grappe. Par ailleurs, les grappes de cache réduisent considérablement la largeur de bande passante Internet nécessaire aux connexions Web. Cet avantage est particulièrement important pour les filiales qui, sinon, auraient besoin de connexions Internet onéreuses pour obtenir le même contenu Web.
Haute disponibilité, basculement en temps réel et équilibrage de la charge de connexion pour les connexions entrantes et sortantes
Aujourd'hui, les entreprises connectées dépendent en permanence d'un accès Internet fiable. ISA Server 2004 Enterprise Edition augmente le temps de disponibilité des connexions entrantes et sortantes en les faisant passer par des grappes de pare-feu ayant une prise en charge intégrée de l'équilibrage de la charge sur le réseau. Ainsi, les grappes ISA Server de l'entreprise fournissent un meilleur temps de disponibilité en déplaçant, automatiquement et de manière transparente, les connexions qui se trouvent sur des pare-feu défaillants. Les utilisateurs n'ont pas besoin de reconfigurer leurs ordinateurs ni de mettre à jour manuellement les stratégies de pare-feu en cas de défaillance d'un ou plusieurs ordinateurs de la grappe.
À cette fonction de basculement s'ajoute la prise en charge intégrée de l'équilibrage de charge réseau. Elle permet notamment d'équilibrer automatiquement les connexions qui passent par les ordinateurs de la grappe de réseau ISA Server. L'équilibrage de charge optimise la performance et améliore le confort d'utilisation Internet en évitant que tout ordinateur de la grappe ne soit surchargé par le trafic. Enfin, l'algorithme d'équilibrage de charge intelligent Enterprise Edition répartit uniformément les connexions sur la grappe pour garantir l'accès Internet le plus rapide et le plus fiable.
Avantages
Les principaux avantages de la solution Microsoft ISA Server 2004 qui la distingue des autres solutions de pare-feu incluent des fonctions d'inspection et de protection avancées au niveau de l'application, la facilité d'utilisation, la fourniture d'un accès Internet rapide et sécurisé, des fonctions d'administration centralisées pour les infrastructures de pare-feu distribuées, et enfin, son intégration souple avec les infrastructures de pare-feu et de réseau VPN existantes.
Protection avancée
ISA Server 2004 est conçu de manière à protéger votre entreprise contre la nouvelle génération d'attaques en assurant un filtrage de paquets avec état et un filtrage de circuits. Le filtrage de paquets avec état détermine quels paquets peuvent franchir le circuit de réseau sécurisé et les services proxy de couche application. Ce filtrage ouvre dynamiquement les ports en fonction des besoins et les ferme à la fin de la communication.
Le filtrage de circuits fournit des passerelles de circuits transparentes pour les applications, permettant un accès multiplateforme à des technologies Windows Media, Telnet, RealAudio, IRC et à d'autres protocoles et services Internet répandus. La sécurité de la couche circuit d'ISA Server 2004 utilise un filtrage de paquets dynamique pour renforcer la sécurité et la facilité d'utilisation.
Outre le filtrage de paquets avec état et le filtrage de circuits, ISA Server 2004 contrôle également le trafic spécifique des applications avec des filtres applicatifs de commandes et de données. Par le biais de l'inspection intelligente du trafic VPN, HTTP, FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP 3 (Post Office Protocol 3), DNS (Domain Name System), conférence H.323, diffusion multimédia en continu et RPC (remote procedure call), ISA Server peut accepter, refuser, rediriger et modifier le trafic en fonction de son contenu.
Facilité d'utilisation
ISA Server 2004 est souple et facile à utiliser. Il inclut des possibilités d'architecture multiréseau, une gestion de VPN et de pare-feu unifiée par l'intermédiaire d'un éditeur de stratégies visuel, de modèles réseau intuitifs, d'assistants automatisés et d'outils de dépannage améliorés.
ISA Server 2004 simplifie également la configuration du pare-feu en installant automatiquement les composants de pare-feu et de cache Web. ISA Server 2004 Standard Edition prend en charge l'exportation de stratégies de pare-feu locales. De son côté, ISA Server 2004 Enterprise Edition prend en charge l'exportation de stratégies de pare-feu d'entreprise et d'informations de configuration au format XML (Extensible Markup Language), le contrôle de session de pare-feu en temps réel pour tous les ordinateurs de la grappe, les groupes d'utilisateurs de pare-feu, etc.
Accès rapide et sécurisé
ISA Server 2004 assure un accès Internet rapide et sécurisé en intégrant complètement la fonctionnalité VPN dans l'architecture du pare-feu, en accélérant le cache Web et en optimisant les vitesses de filtrage du pare-feu. La prise en charge du mode tunnel IPsec intégré pour les connexions VPN site à site simplifie la connexion d'ISA Server 2004 à des passerelles VPN de succursales. Par ailleurs, ces connexions VPN prennent en charge l'inspection de client VPN approfondie et les stratégies de pare-feu, aidant les entreprises à sécuriser leur infrastructure VPN et de pare-feu. Enfin, sa prise en charge des derniers filtres en date et son kit de développement logiciel complet viennent compléter ses fonctionnalités.
Journaux et rapports centralisés
Les organisations doivent tenir à jour des journaux complets et fournir des rapports détaillés sur l'activité Internet des utilisateurs pour respecter les nouvelles règlementations. Par ailleurs, les autorités judiciaires peuvent exiger l'accès à leurs journaux d'activité Internet dans le cadre d'enquêtes civiles et criminelles. ISA Server 2004 Standard Edition peut enregistrer toutes les activités passant par le pare-feu, tandis qu'ISA Server 2004 Enterprise Edition centralise les journaux et les rapports de tous les ordinateurs. Cette centralisation simplifie nettement la recherche d'informations sur l'activité Internet des utilisateurs, des groupes, des serveurs et des réseaux. ISA Server fournit également un générateur de rapport complet qui produit des informations clés sur l'activité Internet d'un ordinateur ISA Server.
Intégration facile avec le pare-feu et l'infrastructure VPN existants
De nombreuses entreprises souhaitent bénéficier du niveau de sécurité renforcé d'ISA Server 2004, tout en conservant leur pare-feu et leur infrastructure VPN existants. La solution ISA Server peut prendre en charge ces entreprises car elle s'intègre facilement avec les infrastructures de pare-feu et VPN existantes.
Vous pouvez placer un ou plusieurs ordinateurs ISA Server derrière vos pare-feu actuels pour fournir à l'ensemble de votre organisation une sécurité renforcée avec un minimum d'administration supplémentaire. Les ordinateurs ISA Server peuvent également être placés en amont de segments d'utilisateurs, de départements et de services dédiés pour leur fournir un meilleur filtrage avec état et une inspection renforcée de la sécurité au niveau des applications.